task_id

строка

Обязательно

Идентификатор задачи выполнения объекта (GUID).

Пример команды cURL:

$ curl --user <user name> --request GET 'https://<server name>/api/v1/sandbox/tasks/<task ID>'

Вам будет предложено ввести пароль. Пароль не отображается во время ввода.

Created

строка <дата-время>

Дата и время создания задачи, указанные в формате ISO 8601:2004 (ГГГГ-ММ-ДДTчч:мм:ссZ).

Processed

строка <дата-время>

Дата и время завершения анализа результатов, указанные в формате ISO 8601:2004 (ГГГГ-ММ-ДДTчч:мм:ссZ).

Status

строка

Статус выполняемого файла или веб-адреса.

Доступные значения:

• Unknown – задача выполнения завершена; информации о состоянии нет.
• Clean – задача выполнения завершена; образец не является вредоносным.
• Malware – задача выполнения завершена; образец является вредоносным ПО (только для файлов).
• Dangerous – задача выполнения завершена; образец опасен (только для веб-адресов).
• Not trusted – задача выполнения завершена; образец не является доверенным (только для веб-адресов).
• NotAVirus – задача выполнения завершена; образец является легитимным, но заражен или скомпрометирован на момент анализа (Adware and other, только для файлов).

Для задач со статусом, отличным от completed, возвращается значение unknown.

Zone

строка

Цвет зоны файла или веб-адреса (Red, Orange, Yellow, Grey, Green).

AvBasesVersion

строка <дата-время>

Дата и время последнего обновления антивирусных баз, указанные в формате ISO 8601:2004 (ГГГГ-ММ-ДДTчч:мм:ссZ).

TaskID

строка

Идентификатор задачи (GUID).

ResultID

строка

Идентификатор результата.

TaskState

строка

Состояние задачи выполнения файла или просмотра веб-адреса.

Доступные значения:

• Uploading – выполняется загрузка файла.
• Created – задача создана.
• Processing – задача выполняется, объект все еще выполняется.
• Completed – задача успешно завершена.
• Deleted – задача удалена.
• Failed – не удалось выполнить файл или просмотр веб-адреса.
• UploadFailed – не удалось загрузить файл (например, размер файла превышает максимальный).
• Disposed – задача удалена автоматически.
• Completed.VNCRecomended – задача завершена, но доступны только результаты статического анализа. Для получения большего количества результатов рекомендуется использовать режим VNC.
• Completed.StaticAnalysisOnly – задача завершена. Доступны только результаты статического анализа.
• Completed.RecommendedImagesIsNotInstalled – задача выполнена. Среда выполнения Microsoft Windows не установлена.
• Completed.FileTypeIsNotAssociated – задача завершена. Формат файла образца не может быть обработан в выбранной среде выполнения.
• Completed.VNCIsNotSupported – задача завершена. Режим VNC не поддерживается.

ErrorCode

строка

Код ошибки.

Доступные значения:

• ProcessingFailed – ошибка во время выполнения объекта.
• WrongPassword – не удалось распаковать архив из-за неверного пароля.
• InvalidFileSize – размер распакованного объекта превышает ограничение.
• SandboxBusy – песочница перегружена.
• UnknownFileType – неизвестный тип загруженного файла.
• UnpackFailed – не удалось распаковать архив.

ErrorMessage

строка

Сообщение об ошибке.

OriginalFileName

строка

Исходное имя загруженного файла.

FileName

строка

Имя загруженного файла.

ArchiveSampleName

строка

Имя загруженного архива.

FileExtension

строка

Расширение выполняемого файла (например js).

FileType

строка

Автоматически определяемый тип выполняемого файла.

Md5

строка

MD5-хеш исполняемого файла.

Sha1

строка

SHA1-хеш исполняемого файла.

Sha256

строка

SHA256-хеш исполняемого файла.

SSDeep

строка

SSDeep-хеш выполняемого объекта.

VirtualMachineId

строка

Операционная система, которая использовалась в качестве среды выполнения.

Если указано неверное значение, в описании ошибки invalid-param-exec_env будут возвращены названия всех доступных сред выполнения.

UnpackPassword

строка

Пароль для архива.

FileSize

целое число

Размер исполняемого файла в байтах.

EmulationTimeSeconds

целое число

Время выполнения файла или просмотра веб-адреса в секундах.

Detects

массив

Список обнаруженных объектов:

• detectTechnology – технология, которая использовалась для обнаружения объекта.
• isNotAVirus – указывает, является ли обнаруженный объект вредоносным.
• severity – уровень опасности обнаруженного объекта.
• threat – название обнаруженного объекта.

screenshots

массив

Список созданных снимков экрана.

DecryptHTTPS

логический

Указывает, был ли расшифрован HTTPS-трафик, сгенерированный выполняемым файлом или веб-ресурсом.

Доступные значения:

• false – HTTPS-трафик не был расшифрован.
• true – HTTPS-трафик был расшифрован.

PreScan

логический

Указывает, был ли выполнен полный (статический и динамический) анализ объекта, включая выполнение в песочнице.

Доступные значения:

• false – полный анализ был выполнен, объект был выполнен в песочнице.
• true – был выполнен только статический анализ, объект не был выполнен в песочнице. Отчет содержит информацию о выполняемом файле, параметрах выполнения, обнаруженных объектах и содержимом файла, если он является контейнером.

PreScanState

логический

Состояние этапа статического анализа:

• CalcParam – логический параметр. Указывает, завершен ли расчет параметров.
• AvsScan – логический параметр. Указывает, завершена ли проверка объекта.
• statPars – логический параметр. Указывает, завершен ли статический анализ.

Channel

строка

Имя сетевого канала, который использовался объектом для доступа в интернет.

Доступные значения:

• Tarpit – эмулирует доступность сети во время выполнения файла без реального доступа в интернет. При указании этого значения эмулируется подключение виртуальной машины к любому хосту. Канал Tarpit позволяет выполнять упрощенную эмуляцию следующих протоколов: raw TCP/UDP, HTTP(S), ICMP, DNS.
• Другие параметры, которые были заданы при установке Kaspersky Research Sandbox.

UsedChannel

строка

Имя сетевого канала, который объект фактически использовал для доступа в интернет (например, US).

IsDataAvailable

логический

Указывает, имеются ли данные отчета для задачи.

DebugReport

логический

Указывает, был ли создан отчет об отладке.

Доступные значения:

• false – отчет об отладке не создается;
• true – создается отчет об отладке.

Url

строка

Веб-адрес, просмотренный в песочнице.

CmdLineParams

строка

Параметры командной строки, которые использовались для выполнения объекта в песочнице.

ClickLinks

логический

Указывает, просматривало ли приложение Kaspersky Research Sandbox ссылки в открытых документах.

Доступные значения:

• false – приложение не просматривало ссылки.
• true – приложение просматривало ссылки.

Этот параметр доступен только в том случае, если выбрана среда выполнения на базе Microsoft Windows. Если вы указали среду выполнения на базе Android (включая пользовательские среды), то значение этого параметра игнорируется во время выполнения файла.

Однако результаты задачи содержат указанное вами значение click_links.

DocPassword

строка

Пароль для защищенного документа. Если пароль не указан, значение этого параметра равно null.

SampleType

строка

Тип образца.

CalculatedParams

массив объектов

Автоматически рассчитанные параметры выполнения:

• ExecEnv – среда выполнения объекта.
• ExecTime – время выполнения объекта.

ThreatScore

целое число

Оценка угрозы объектов, основанная на показателях и данных, полученных в ходе выполнения задачи.

AppsCloseTimeout

целое число

Время ожидания в секундах, по истечении которого приложение, в котором был открыт документ Microsoft Office, будет закрыто.

Доступные значения: 10–1800.

Актуально только для документов Microsoft Office, отправляемых в среды выполнения Windows.

Userscan

массив объектов

Статус задачи проверки YARA и Suricata для объекта и его извлеченных файлов:

Yara:

• Status – статус сработавшего правила YARA (см. описание ниже).
• Filename – имя загруженного файла, содержащего правила YARA.
• ScanningTime – дата и время срабатывания правила YARA.

Suricata:

• Status – статус сработавшего правила Suricata, см. описание ниже.
• Filename – имя загруженного файла, содержащего правила Suricata.
• ScanningTime – дата и время срабатывания правила Suricata.

Возможные значения параметра Status для правил YARA и Suricata:

• not scanned – правила не были отправлены.
• created – задача проверки создана.
• scanning – выполняется задача проверки.
• matched – проверка успешно завершена, есть обнаружения.
• truncated – проверка Suricata успешно завершена, есть обнаружения. Некоторые результаты были удалены: осталось не более 50 000 записей, не более 25 совпадений на правило. Этот статус возвращается только для правил Suricata, результаты проверки с использованием правил YARA не фильтруются.
• not matched – проверка успешно завершена, обнаружений нет.
• syntax error – правила не проверяются регулярным выражением.
• processing error – произошла ошибка в процессе проверки с использованием проверенных правил. Могут быть обнаружения.

VncAccess

логический

Указывает, использовался ли для задачи доступ к VNC.

Доступные значения:

• true – доступ к VNC использовался.
• false – доступ к VNC не использовался.

VncSampleAutostart

логический

Указывает, был ли включен автоматический запуск образца в режиме VNC.

Доступные значения:

• true – автоматический запуск образца был включен.
• false – автоматический запуск образца был выключен.

VncStarted

string

Дата и время запуска VNC для задачи.

VncTimeLeft

string

Время до отключения доступа к VNC, в секундах.

VncStatus

логический

Указывает, активен ли в данный момент VNC для задачи.

Доступные значения:

• true – VNC в данный момент активен.
• false – VNC в данный момент неактивен.

DisableClicker

логический

Указывает, был ли отключен кликер в режиме VNC.

Доступные значения:

• true – кликер был отключен.
• false – кликер был включен.

Пример ответа 200 OK для файла:

{

"Created": "2024-11-07T12:25:48.845463Z",

"Processed": "2024-11-07T12:42:17.656575Z",

"Status": "Malware",

"Zone": "Red",

"AvBasesVersion": "2024-11-06T10:41:00Z",

"TaskId": "5dd567...e164f6f9",

"ResultID": "",

"TaskState": "Completed",

"ErrorCode": "",

"ErrorMessage": "",

"OriginalFileName": "file.rar",

"FileName": "file.exe",

"ArchiveSampleName": "file",

"FileExtension": "exe",

"FileType": "exe x32",

"Md5": "86f205f...a2df",

"Sha1": "252be6e...d4530a7",

"Sha256": "a6e226f...0b988",

"SSDeep": "3072:yM1ypc...GQkxVj:yHv6X...IVj",

"VirtualMachineId": "Win10_x64",

"UnpackPassword": "",

"FileSize": 135705,

"EmulationTimeSeconds": 1800,

"Detects": [

{

"IsNotAVirus": false,

"Threat": "Backdoor.Win32.Zebrocy.sb",

"Severity": 800,

"DetectTechnology": "SBscaner"

},

{

"IsNotAVirus": false,

"Threat": "Trojan.Win32.KL_APT_TEST_DETECT.gen",

"Severity": 800,

"DetectTechnology": "SBscaner"

},

{

"IsNotAVirus": false,

"Threat": "Trojan.Win32.Reconyc.sb",

"Severity": 800,

"DetectTechnology": "SBscaner"

}

],

"Screenshots": [

{

"FullName": "0.wnd.scr.png",

"PreviewName": "0.wnd.prv.png"

},

{

"FullName": "1.wnd.scr.png",

"PreviewName": "1.wnd.prv.png"

},

{

"FullName": "2.wnd.scr.png",

"PreviewName": "2.wnd.prv.png"

},

{

"FullName": "3.wnd.scr.png",

"PreviewName": "3.wnd.prv.png"

}

],

"DecryptHttps": true,

"PreScan": false,

"PreScanState":

{

"CalcParam": true,

"AvsScan": true,

"StatPars": false

},

"Channel": "",

"UsedChannel":

{

"ID": 1,

"Name": "Beeline_ODC1_01",

"Available": true,

"Description": "Beeline_ODC1_01"

},

"IsDataAvailable": true,

"DebugReport": false,

"Url": "",

"CmdLineParams": "",

"ClickLinks": false,

"DocsPassword": "",

"SampleType": "single_file_arch",

"CalculatedParams":

{

"ExecEnv": "Win10_x64",

"ExecTime": 1800

},

"ThreatScore": 97,

"AppsCloseTimeout": 0,

"Userscan": {

"Yara": {

"Status": "not scanned",

"Filename": "",

"ScanningTime": null

},

"Suricata": {

"Status": "not scanned",

"Filename": "",

"ScanningTime": null

}

},

"VncAccess": true,

"VncSampleAutostart": true,

"VncStarted": null,

"VncTimeLeft": 0,

"VncStatus": 0,

"DisableClicker": true

}

code

строка

Идентификатор ошибки.

message

строка

Описание ошибки.

meta

строка

Дополнительная информация, если таковая имеется.

Примеры ошибок:

Неверный параметр task_id:

{"code":6,"message":"task not found"}

Неверный формат параметра task_id:

{"code":29,"message":"bad task id"}